［世界］
トロイの木馬「Gozi」の新版が登場――旧版よりも検出が困難に

世界中で2,000人以上が被害

（2007年05月22日）

　米国セキュアワークスは先ごろ、トロイの木馬プログラム「Gozi」の新版を発見したことを明らかにした。4月17日以降、世界中で2,000人以上の一般ユーザーが新しいGoziによって個人情報を盗まれたという。

　Goziが盗み出す情報は、銀行口座やクレジットカードの番号（カードの暗証番号を含む）、社会保障番号、オンライン支払い口座番号、ユーザー名やパスワードなどだ。Goziの新版も、旧版と同様、Secure Sockets Layer（SSL）で暗号化される前のストリームから情報を盗み出し、それをロシアにあるサーバに送るようプログラムされている。

　Goziの新版を発見したのは、MSSP（マネージド・セキュリティ・サービス・プロバイダー）のセキュアワークスでセキュリティ調査員を務めるドン・ジャクソン氏。氏は今年1月にもGoziの旧版を発見した。

2つの機能を追加したGozi新版

　ジャクソン氏によると、Goziの新版は、目的という点では旧版とよく似ているが、2つの重要な機能が追加されている点で旧版とは異なるという。

　1つは、これまで見たことのない新しい「packer」ユーティリティが使われている点だ。このユーティリティは、トロイの木馬コードを暗号化、細分化、圧縮、さらには一部を削除することで、標準的な署名ベースのアンチウイルス・ツールに検出されないようにする。これに対し、旧版のGoziは、「Upack」と呼ばれる比較的よく知られているパッケージング・ユーティリティを使っていたため、新版よりも容易に検出できた。

　もう1つは、キー・ストロークのロギング機能を備えている点だ。ジャクソン氏によると、新版のGoziに感染したコンピュータのユーザーが銀行のWebサイトを訪れたり、SSLセッションを開始したりすると、この機能が動き出すという。ただし、この機能の詳細なメカニズムは明らかになっていない。

　「この2つの機能を除けば、新旧のGoziに違いはない」とジャクソン氏は語る。新版のGoziも、「Internet Explorer」ブラウザのiFrameタグに存在する脆弱性（すでにパッチ配布済み）を利用して感染するようになっており、通常は特定のWebサイトやコミュニティ・フォーラム、ソーシャル・ネットワーキング・サイトなどを訪れることで感染する。

検出可能だが油断は禁物

　ジャクソン氏によると、Goziが盗んだ情報の送信先となっているサーバはロシアのネットワーク上にあったという。しかし、このネットワークをたどっていくと、パナマのISP（インターネット・サービス・プロバイダー）に行き着いた。Goziに関する情報の提供を受けた同ISPは、同サーバを「no-routed」にして、実質的にインターネットから切り離したという。

　Goziの新版を発見したセキュアワークスは、これを検出するための署名を作成し、アンチウイルス・ツールのプロバイダーに提供した。現在のところ、プロバイダーの上位30社のうちおよそ15社が、自社のアンチウイルス製品にこの署名を組み込んでおり、効率に多少差はあるものの、Gozi新版を検出できるようにしている。だが、油断は禁物だ。

　Goziの旧版は、発見されるまでの間に、およそ5,200の一般ユーザーや企業、政府機関、法執行機関などから1万件以上の情報を盗み出したとされている。盗んだ情報の送信先となったサーバは、非常に洗練されたフロントエンドを持ち、インデックス化された形でデータを閲覧できるほか、フォーム・ベースのクエリによって情報を引き出せるようになっていた。

　また、クエリによって引き出される情報には価格が付いており、WMAと呼ばれる通貨（Webマネーの単位で、1WMAがおよそ1ドルに相当）を使って取引されていたとされる。サーバは、「76Service」と呼ばれるロシア人のグループが管理しており、彼らによると、「HangUp Team」を名乗るロシアのハッカー集団からGoziのコードを購入したという。

(ジャイクマール・ビジャヤン／Computerworld オンライン米国版)